FORSCHUNGSBERICHT DES LANDES NORDRHEIN-WESTF ALEN Nr. 3042 / Fachgruppe Wirtschafts- und Sozialwissenschaften Herausgegeben yom Minister fur Wissenschaft und Forschung Prof. Dr. Dr. h. c. multo Erwin Grochla Dipl. -Kaufmann Hans-J oachim Hornberger Betriebswirtschaftliches Institut fUr Organisation und Automation an der UniversiUit zu Koln (BIFOA) AUDAFEST Ergebnisse einer empirischen Erhebung zum Themenbereich "Datenschutz und Datensicherung" Westdeutscher Verlag 1981 AUDAFEST ist das Akronym fur Die Auswirkungen des Bundesdatenschutzgesetzes. - Eine Feldstudie - CIP-Kurztitelaufnahme der Deutschen Bibliothek Grochla, Erwin: AUDAFEST : Ergebnisse e. empir. Erhebung zum Themenbereich "Datenschutz und Datensicherung" / Erwin Grochla ; Hans-Joachim Hornberger. - Opladen : Westdeutscher Verlag, 1981. (Forschungsberichte des Landes Nordrhein Westfalen ; Nr. 3042 : Fachgruppe Wirt schafts- u. Sozialwiss.) ISBN-13: 978-3-531-03042-5 e-ISBN-13: 978-3-322-87564-8 001: 10.1007/978-3-322-87564-8 NE: Hornberger, Hans-Joachim:; Nordrhein Westfalen: Forschungsberichte des Landes © 1981 by Westdeutscher Verlag GmbH, Opladen Gesamtherstellung: Westdeutscher Verlag ISBN-13: 978-3-531-03042-5 *AUOAFEST* VORliORT Oer vorliegende Bericht ist das Ergebnis einer empirischen Be fragung zum Themenkreis 'Oatenschutz und Oatensicherung'. Oiese wurde im Verlauf eines mit den Mitteln ~es Ministers fur Wissenschaft und Forschung des Landes Nordrhein-Westfalen ge forderten Forschungsprojekts im Oktober 1979 yom Betriebswirt schaftlichen Institut fur Organisation und Automation an der Universitat zu Koln durchgefuhrt. Mit Hilfe der Ergebnisse dieser Untersuchung sollte eine mog lichst objekive und reprasentative Grundlage geschaffen werden, anhand der die einzelnen Unternehmungen den Stand und die Voll standigkeit ihres Oatensicherungssystems uberprufen bzw. sich mit anderen Unternehmungen derselben Branche vergleichen kon nen. AuBerdem solI te durch diese Befragung festgestell t werden, in welchen Bereichen die Forderungen des Bundesdatenschutzgesetzes (BDSG) bereits angemessen erfullt und somit detaillierte Vor schriften unnotig werden. Oaruber hinaus solI ten jedoch auch diejenigen Punkte erkannt werden, zu denen konkrete Ausfuhrungen seitens des Gesetzgebers bzw. der Landesaufsichtsbehorden erforderlich sind. Hierzu wurden 19.865 Unternehmungen der privaten Wirtschaft so wie Stellen 6ffentlicher Verwaltung angeschrieben. Oabei diente als Erhebungsunterlage ein Fragebogen mit 164 Fragen, die bis zu flinf Unterfragen umfaBten. An dieser Stelle gilt unser Dank einmal den 1.489 Unternehmungen der privaten Wirtschaft und Stellen 6ffentlicher Hand, die aus wertungsfahige Fragebogen zurlicksandten und damit die Grundlage zu (in gegebenen Grenzen) reprasentativen Aussagen legten. Er gilt aber auch jenen, die uns z.T. mit konstruktiver Kritik be dachten. Zu besonderem Dank sind wir der Gesellschaft fur Datenschutz und Datensicherung e.V. verpflichtet, deren Vertreter, Herr Bernd Hentschel, zahlreiche wertvolle Hinweise zur Uberarbeitung der Erhebungsunterlagen gab. Letztlich danken wir den Herren cando ing. grad. Norbert Ende und cando math. Paul Loeffelsend, die uns bei edv-technischen Problemen der Auswertung hilfreich unterstlitzten. *AUDAFEST* Seite AUDAFEST-Datenschutzbefragung 1. Erste Reaktionen auf die Erhebung 3 2. Hinweise zu den Auswertungen 4 3. Allgemeine Hinweise zur Interpretation der in der 6 Anlage beigefugten Auswertungen 3.1 Hinweise zu den einzelnen Auswertungen 7 3.2 Hinweise zur Tabellenkennzeichnung 12 4. Interpretation der Ergebnisse Einftihrende Fragen (Fragen 001-004.2) 13 Zugangskontrolle (Fragen 005-021) 15 Alarmtechnik (Fragen 022-025) 21 Datenschutzbeauftragter (Fragen 026-037) 23 Datenschutz-Unterweisung (Fragen 038-039.1) 29 Klassifizierung (Fragen 040-045) 31 Belegorganisation (Fragen 046-050) 33 Interner Transport (Formulare) (Fragen 051-051.2) 35 Datentrager-VerschluB am Arbeitsplatz (Fragen 052-054) 36 Fotokopien (Fragen 055-057.1) 37 Fernschreiber/-kopierer (Fragen 058-059.2) 38 Datentrager-Vernichtung (Fragen 060-063) 39 Direkte Abgangskontrollen (Fragen 064-067) 41 Datentrager-Versand (Fragen 068-069) 42 Allgemeine Fragen (Fragen 070-076) 42 Datenverarbeitung auBer Haus (Fragen 077-085.1) 45 Automatisierte Datenverarbeitung (Fragen 086-155) 51 - Erfassung (Fragen 088-088.2) 55 - Eingabe (Fragen 089-093) 57 - Datenorganisation (Fragen 094-096) 61 - Datenbank (Fragen 097-099.1) 62 - Dateien (Fragen 100-102.1) 64 - Programme (Fragen 103-113) 67 - Datentrager-Kopien (Fragen 114-115.1) 73 - Datenrestbestande (Fragen 116-118) 74 - Ausgabe (Fragen 119-122.1) 76 - Interner Datentrager-Transport (Fragen 123-123.2) 79 - Datentrager-Archiv (Fragen 124-128.2) 80 - Wechselspeicher (Fragen 129-129.1) 86 - Datenverschlusselung (Fragen 130-130.2) 86 - Datentrager-Austausch (Fragen 131-135.1) 88 - Datentrager-Versand (Listen) (Fragen 136-138) 91 - Nutzung von Terminals (Fragen 139-149.1) 93 - Datenubermittlung (Fragen 150-155) 104 - GeschaftsmaBige Datenverarbeitung fur Dritte III (Fragen 156-157.3) - Fragen zum BDSG (Fragen 158-164.1) 113 Tabellen 121 1 *AUDAFEST* AUDAFEST-Datenschutzbefragung 1m Rahmen dieser Untersuchung wurden 19.865 Unternehmungen der privaten Wirtschaft sowie Stellen offentlicher Verwaltung ange schrieben. Als Erhebungsunterlage diente ein Fragebogen mit 164 Fragen, die bis zu flinf Unterfragen umfaBten. Mit Hilfe der Ergebnisse dieser Untersuchung sollte eine mog lichst objekive und reprasentative Grundlage geschaffen werden, anhand der die einzelnen Unternehmungen den Stand und die Voll standigkeit ihres Datensicherungssystems liberprlifen bzw. sich mit anderen Unternehmungen derselben Branche vergle ichen kon- nen. AuBerdem solI te durch diese Befragung festgestell t werden, in welchen Bereichen die Forderungen des Bundesdatenschutzgesetzes (BDSG) bereits angemessen erflillt und somit detaillierte Vor schriften unnotig werden. Darliber hinaus solI ten jedoch auch diejenigen Punkte erkannt werden, zu denen konkrete Ausflihrungen seitens des Gesetzgebers bzw. der Landesaufsichtsbehorden erforderlich sind. Urn dieses Z iel zu erreichen, war die Erstellung einer relativ aufwendigen und detaillierten Erhebungsunterlage notwendig. Das zu manchen Fragen umfangreiche Angebot moglicher Antworten gab den Adressaten einerseits Anregungen flir ihre eigenen Daten schutz- und Datensicherungsaktivitaten und Moglichkeiten ihrer Uberprlifung, andererseits verklirzte es erheblich die Bearbei tungszeit des Fragebogens. 2 *AUDAFEST* 1. Brste Reaktionen auf die Brhebung Folgende erste Reaktionen auf die AUDAFEST-Datenschutzbefragung kBnnen als positiv gewertet werden. • Checklistenfunktion der Erhebungsunterlage Dieses im Antrag formulierte Ziel kann als erftillt angesehen werden. Das ist - neben expliziten Hinweisen - auch aus der Zahl der Unternehmungen zu schlieBen, die entweder urn die Zu sendung eines Zweitexemplars ftir eigene Zwecke baten bzw. nur Fotokopien der Erhebungsunterlagen zurticksandten. • Rticklaufquote Aus 19.865 versandten Fragebogen ergab sich eine Nettortick laufquote von 7,5%. Diese ist erheblich groBer als die bei Um fragen dieser Art (ungerichtete Streuung, keine Vorbereitung der Adressaten und ohne NachfaBaktion) sowie GroBenordnung tibliche Marge. • Kontaktaufnahmen nach Presseveroffentlichungen Aufgrund der im Zusammenhang mit der Vorbereitung der AUDA FEST-Datenschutzbefragung veroffentlichten Pressenotizen er folgten tiberaus zahlreiche Kontaktaufnahmen seitens Unterneh mungen der privaten Wirtschaft7 hierbei wurden neben Detail ausktinften in erster Linie Erhebungsunterlagen erbeten. Diese Zahlen sprechen daftir, daB das Problem 'Datenschutz und Datensicherung' in weiten Teilen der privaten Wirtschaft und of fentlichen Hand erkannt und seiner Bedeutung entsprechend gewlir digt wird. Neben diesen positiven wurden jedoch auch elnlge negative und sich auf die Rticklaufquote dampfend auswirkende Reaktionen deut lich. Die Detailliertheit des Erhebungsbogens ftihrte bei einigen Un ternehmungen zu der Sorge, daB sich die entsprechenden Antworten fUr die betreffende Unternehmung negativ auswirken konnten. Die BefUrchtungen reichten von allgemeinen SicherheitsUberlegungen tiber "mogliche Fehlinterpretation der Ergebnisse" bis hin zur 3 *AUDAFEST* Unterstellung einer "verschleierten Bestandsaufnahme der Landes aufsichtsbeh6rden". In den Fallen, wo diese Beflirchtungen den Mitarbeitern des AUDA FEST-Projektes frlihzeitig bekannt wurden, konnten sie ausgeraumt werden. Leider hat ten jedoch einige Verbande der privaten Wirt schaft sowie Stellen der 6ffentlichen Hand entweder ohne oder vor einer Kontaktaufnahme mit AUDAFEST ablehnende Empfehlungen an ihre Mi tgl ieder bzw. nachgeordneten Stellen ausgesprochen. Aus diesem Grund bemlihten sich sogar einige datenverarbeitenden Stellen urn die Rlicksendung ihrer bereits vor dieser Empfehlung beantworteten Fragebogen. Ebenfalls aufgrund allgemeiner Sicherheitsliberlegungen und/oder aus Furcht vor etwaigen Folgen einer Kenntnisnahme seitens der Landesaufsichtsbeh6rde wurden nur 44,7% der Fragebogen mit voll standig ausgeflillten Angaben (zur Gr6Be der beantwortenden Stel le etc.) zurlickgesandt. Dadurch muBten einige geplante Auswer tungen entfallen (z.B. die Untersuchung auf Datenschutz- und Datensicherungsgefalle innerhalb einer divisionalisierten Unter nehmung) • 2. Hinweise zu den Auswertungen Die Auswertungen der AUDAFEST-Datenschutzbefragung wurden liber wiegend mit dem 'Statistik-Programm-System flir die Sozialwissen schaften' (SPSS) durchgeflihrt. Die Ergebnisse dieser Auswertungen wurden dann mit Hilfe spezi eller AUDAFEST-Programme aufbereitet, wodurch jede Tabelle un abhangig von weiteren Unterlagen interpretierbar ist. Jede Tabelle hat als Kopf den Text der Frage(n) in der Form, wie er in den Erhebungsunterlagen enthalten war. Bei einigen Fragen waren neben vorbereiteten Antworten weitere 'freie' zugelassen. Diese sind durch drei Punkte gekennzeichnet, denen die gegebenen freien Antworten folgen. Die Buchstaben auf der rechten Sei te kennzeichnen die entsprechende Antwort. Die erhobenen Daten wurden mit Hilfe der SPSS-Routinen drei un terschiedlichen Auswertungen unterzogen: • Haufigkeit (SPSS-Terminus: FREQUENCIES) 1m Rahmen dieser Auswertungsroutine wurden Tabellen erstellt mit: absoluten Haufigkeiten, relativen Haufigkeiten unter Ein beziehung der fehlenden Werte, bereinigten relativen Haufig keiten (d.h. die fehlenden Werte sind ausgeschlossen) und ku mulierten, bereinigten Haufigkeiten fUr diskrete Variablen. (Jede Frage des Erhebungsbogens wurde als diskrete Variable definiert. ) • Kreuzauswertung (SPSS-Terminus: CROSSTABS) Durch diese Auswertungsroutine wurden zweidimensionale Haufig keitsverteilungen (Kontingenztafeln) fUr diskrete Variablen gebildet. (Von n-dimensionalen Auswertungen wurde abgesehen, da deren eindeutige Interpretation im vorliegenden FaIle nicht moglich war.) Durch die GegenUberstellung von jeweils zwei Fragen (Varia bIen) wurden die Anworten hinsichtlich ihrer gegenseitigen Abhangigkeiten ausgewertet. • Einzelnennungen Diese eigene Auswertungsroutine (mit der SPSS-Routine MULT RE SPONSE vergleichbar) zahlt die einzelnen Anworten in den Fal len aus, wo Mehrfachantworten auf eine Frage zulassig waren. Diese Auswertungen wurden im vorliegenden FaIle zur Erhohung der Aussagefahigkeit jeweils gesondert kreuztabelliert. 5 *AUDAFEST* 3. Allgemeine Hinweise zur Interpretation der in der Anlage beigefUgten Auswertungen Den jeweiligen Auswertungen liegt grundsatzlich die Gesamtheit aller im Nettorticklauf erfaBten Fragebogen zugrunde. Wurde je doch eine Frage so beantwortet, daB die Unterfrage(n) und/oder Folgefrage(n) gegenstandslos wurden, reduzierte sich die dieser Auswertung zugrunde liegende Zahl der FaIle. Wurden samtliche der vorgeschlagenen Antworten angekreuzt, so ist dies durch mehrere Sternchen unter 'CODE' gekennzeichnet CJC) (siehe Beispiel 1). In den Fallen, wo aufgrund zugelassener Mehrfachnennungen eine tiber die Darstellungsmoglichkeit der verwendeten Statistiksoft ware hinausgehende Zahl vorgebener Antworten darzustellen war (SPSS kann in dieser Form maximal 8 Mehrfachantworten darstel len), wurde ein Stern vor der Buchstabenkombination der NICHT(!) angekreuzten Antworten aufgeftihrt. (1) , So bedeutet der Code *AIK daB - bei moglichen Antworten von A-M - aIle Antworten mit Ausnahme der unter A,I und K auf geftihrten genannt wurden. 024. 3 FaLGE~OE SICH::RUNGS· UNO ALARMTECHNISCHE MASSNAHHEN HUROEN EINGEFUEHRT (BZW. BESTA~OEN)I F::NSTERSI~HERJ~G::N HECHANISCH (;ITTER ET:.I - A ElEKTRJNISCH (GLASBRUCHSENSOR ET::.) - A TJERSICHERUNGE~ - C A. . A RHANLA:;ENI HFRAROT - 0 U.TRASCHALL - E LICHTSCHRANKEN - - F 1f::::HANISCHE (KONTAKEI - - G A"ARHHELOJNG ERFOLGT UEBER SIRENE - H BLINK-(BLITZ-)LICHT - I OER ALARM ERFJLGT OIREKT BEll ~OLIZEI - K ,.ACHPERSOIIAL - L 5ICHERHEITSBEAUFTRAGTEN M RELHIVE A OJUSr:: 0 CUM ABSJLJTE FREQ FREQ FREQ G)C:lOE nEl (PCn (PCT) (PCT) GJ·UK 1 .2 .2 .2 ·EFH 1 .2 '.2 .4 A U 2.g 3.8 4.2 ABCDEHL ~ .3 .It 4.7 - - - - - - - - - 6 *AUDAFEST* 3.1 Hinweise zu den einzelnen Auswertungen Die drei Arten durchgeflihrter Auswertungen weisen folgende Be sonderheiten auf: • HXUFIGKEIT Bei dieser Auswertung wird eine Zahlung gegebener Antworten bzw. -kombinationen der dieser Frage zugrunde liegenden FaIle vorgenommen (siehe Beispiel 2). In der ersten Spalte wird de ren Antwortcode dargestellt (korrespondierend zum Kopftext). In der mit 'ABSOLUTE FREQ' liberschriebenen Spalte wird die Anzahl der auf diesen Code entfallenden Antworten aufgeflihrt, in der folgenden Spalte - RELATIVE FREQ (PCT) - die entsprech enden Prozentzahlen. Die vierte Spalte - ADJUSTED FREQ (PCT) - enthalt die auf die tatsachlichen Antl.lorten bezogenen Prozent zahlen, d.h. diese sind urn die unter 'KEINE ANGi".BEN' aufge flihrten FaIle bereinigt. Die letzte Spalte - CUM FREQ (PCT) - gibt die kumulierten Prozente der bereinigten FaIle an. Die zwei der Tabelle folgenden Zeilen erlautern, wie sich die neben 'TOTAL' aufgeflihrte Zahl auf die ausgewerteten FaIle (VALID CASES) bzw. die unberlicksichtigten (MISSING CASES) verteil t. 080 LIEGE'll IHNEN BESCtiR::IBUNGE'l VOR UEBER Or:: ART ETC. OER ZUR V~RARBEITJNG IHRER OATEN EINGESETZTEN PROGRAHHE? NE IN - - N J', DER P~OGRf\111E - A FERNER OERa SOFTWARE (Z.B. OATENtlANKI - B HARDWA~E-KONFIGURAT[JN - C RELfI TIVE A OJUSEO CUH ABSJLJTE FRE Q FREQ. FREQ CJOE FRE~ (P:; TI (PCT) (PCTI A 133 23.4 23.9 23.9 A3 21t 1t.2 4.3 28.2 A3C 83 15.5 15.8 44.0 A~ 23 5.1 5.2 49.2 B ; .9 .3 50.1 B~ 3 1.4 1.4 51.5 C :; .9 .9 52.4 N 26; 46.7 47.6 100.0 KEINE A'IIGABEf.! 1L 1.9 TOTAl 568 100.0 100.0 VALID CASES 557 HISSING CASES 1L - - - - - - - - - - - - - - - - - - - - - - - - - - - - 7